Tomcat中間件基線核查的示例分析

小編給大家分享一下Tomcat中間件基線核查的示例分析，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

創(chuàng)新互聯(lián)公司是由多位在大型網(wǎng)絡(luò)公司、廣告設(shè)計(jì)公司的優(yōu)秀設(shè)計(jì)人員和策劃人員組成的一個(gè)具有豐富經(jīng)驗(yàn)的團(tuán)隊(duì)，其中包括網(wǎng)站策劃、網(wǎng)頁(yè)美工、網(wǎng)站程序員、網(wǎng)頁(yè)設(shè)計(jì)師、平面廣告設(shè)計(jì)師、網(wǎng)絡(luò)營(yíng)銷人員及形象策劃。承接：成都做網(wǎng)站、網(wǎng)站制作、成都外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站改版、網(wǎng)頁(yè)設(shè)計(jì)制作、網(wǎng)站建設(shè)與維護(hù)、網(wǎng)絡(luò)推廣、數(shù)據(jù)庫(kù)開(kāi)發(fā),以高性價(jià)比制作企業(yè)網(wǎng)站、行業(yè)門戶平臺(tái)等全方位的服務(wù)。

一、身份鑒別

1.1應(yīng)啟用身份鑒別、 用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)

檢查是否按照用戶分配賬號(hào),避免賬號(hào)共享，至少存在兩個(gè)賬號(hào)：

修改tomcat-users.xml配置文件，修改或添加賬號(hào)。

<user username=”tomcat” password=” testPasswd&” roles=”admin”>

1.2應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用

密碼長(zhǎng)度不小于8位且包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)中至少兩類：

在配置文件tomcat-users.xml中設(shè)置口令的長(zhǎng)度不小于8位，復(fù)雜度符合要求。 eg: <user username="tomcat" password="testPasswd&" roles="admin" />

二、訪問(wèn)控制

2.1應(yīng)提供訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問(wèn)

2.1.1檢查是否禁用非法HTTP方法

禁用非法HTTP方法：

編輯web.xml文件中配置 org.apache.catalina.servlets.DefaultServlet的 <init-param> <param-name>readonly</param-name>

<param-value>true</param-value> </init-param>

其中param-value為true時(shí)，即不允許delete和put操作。

2.1.2檢查是否修改tomcat manager文件夾名稱

修改manager文件夾名稱：

eg:將C:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps\manager修改為C:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps\XXX XXX為新的文件夾名稱

2.1.3檢查是否更改tomcat服務(wù)器默認(rèn)端口

應(yīng)更改tomcat服務(wù)器默認(rèn)端口：

修改配置文件server.xnl，更改默認(rèn)管理端口： <Connector port="新的端口" protocol="HTTP/1.1" connectionTimeout="300" redirectPort="8443" />

2.1.4檢查是否禁止tomcat列表顯示文件

禁止Tomcat列表顯示文件：

編輯配置文件web.xml，修改如下： <init-param> <param-name>listings</param-name> <param-value>true</param-value> </init-param> 把true改成false

2.2應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限

2.2.1檢查是否禁用超級(jí)用戶啟用tomcat

應(yīng)禁止超級(jí)用戶啟用tomcat：

在超級(jí)用戶模式下啟用tomcat，如果可以啟用，建議禁用超級(jí)用戶，改為普通用戶進(jìn)行啟用。

2.2.2檢查是否設(shè)置防止惡意關(guān)閉tomcat服務(wù)

應(yīng)避免惡意shutdown TOMCAT服務(wù)：

打開(kāi)tomcat_home/conf/server.xml，查看是否設(shè)置了復(fù)雜的字符串 <Server port="8005" shutdown="復(fù)雜的字符串"> 避免惡意shutdown TOMCAT服務(wù)

2.3應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系

檢查是否設(shè)置在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限

修改用戶角色權(quán)限，授權(quán)tomcat具有遠(yuǎn)程管理權(quán)限：

編輯tomcat-users.xml配置文件，修改用戶角色權(quán)限，授權(quán)tomcat具有遠(yuǎn)程管理權(quán)限： eg：<user username=”tomcat” password=”***” roles=”manager”>

2.4應(yīng)對(duì)通信過(guò)程中的整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密

檢查是否配置設(shè)備支持使用HTTPS加密協(xié)議

設(shè)備應(yīng)支持使用HTTPS加密協(xié)議：

1. 使用JDK自帶的keytool工具生成一個(gè)證書(shū)（keystore文件），其中包含了密鑰。

2. 在命令行輸入以下命令：keytool -genkey -alias tbb -keyalg RSA -keystore d:\tbb.keystore(可自選地址)

3. 根據(jù)系統(tǒng)提示輸入“keystore”密碼和其他信息，注意：您的名字與姓氏是什么？此項(xiàng)要輸入本機(jī)IP地址

4. 輸入私鑰密碼，確認(rèn)私鑰密碼 系統(tǒng)將在當(dāng)前目錄下生成一個(gè)“keystore”文件

5. 創(chuàng)建自簽名的證書(shū)

6. 使用使用JDK自帶的命令keytool創(chuàng)建自簽名證書(shū)：keytool -selfcert -alias tbb -keystore d:\tbb.keystore(可自選地址)

7. 創(chuàng)建成功后，將證書(shū)導(dǎo)出：keytool -export -alias tbb -keystore d:\tbb.keystore -storepass 123456 -rfc -file d:\tbb.cer(可自選地址)

8. 將證書(shū)導(dǎo)入到“受信任的根證書(shū)頒發(fā)機(jī)構(gòu)”，開(kāi)始->運(yùn)行->certmgr.msc

9. 修改配置文件xml，如下： <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystorePass="your passwd" keystoreFile="your keystore"/>

10. 重啟tomcat

三、安全審計(jì)

3.1應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)

檢查是否配置日志功能，對(duì)用戶登錄進(jìn)行記錄

應(yīng)對(duì)用戶登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)用戶使用的IP地址進(jìn)行記錄：

編輯server.xml配置文件，在<HOST>標(biāo)簽中增加記錄日志功能，將以下內(nèi)容的注釋標(biāo)記< ! -- -- >取消： <Valve className=”org.apache.catalina.valves.AccessLogValve” Directory=”logs” prefix=”localhost_access_log.” Suffix=”.txt” Pattern=”common” resloveHosts=”false”/>

四、軟件容錯(cuò)

4.1在故障發(fā)生時(shí)，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧?/strong>

檢查是否配置tomcat錯(cuò)誤頁(yè)面重定向

配置Tomcat錯(cuò)誤頁(yè)面重定向：

編輯配置文件web.xml，

修改如下： <error-page> <error-code>404</error-code> <location>/錯(cuò)誤頁(yè)面</location> </error-page> …………… <error-page> <exception-type>java.lang.NullPointerException</exception-type> <location>/錯(cuò)誤頁(yè)面</location> </error-page>

五、資源控制

5.1當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話

檢查是否設(shè)置連接超時(shí)時(shí)間

應(yīng)設(shè)置Connector接受一個(gè)連接后等待的時(shí)間不大于默認(rèn)時(shí)間60秒(60000毫秒)：

編輯配置文件server.xml，修改超時(shí)時(shí)間： <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="xxx" redirectPort="8443" /> 注意：0為永不超時(shí)，也屬于不合規(guī)。

應(yīng)設(shè)置Connector接受一個(gè)連接后等待的時(shí)間不為0：

編輯配置文件server.xml，修改超時(shí)時(shí)間： <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="xxx" redirectPort="8443" /> 注意：0為永不超時(shí)，也屬于不合規(guī)。

5.2應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制

5.2.1檢查是否設(shè)置連接數(shù)

應(yīng)根據(jù)機(jī)器性能和業(yè)務(wù)需求，設(shè)置最小連接數(shù)：

編輯server.xml文件，樣例如下： <Connector   port="8080"  minSpareThreads="25" ……/> minSpareThreads="25" 表示即使沒(méi)有人使用也開(kāi)這么多空線程等待 根據(jù)實(shí)際情況設(shè)置連接數(shù)

應(yīng)根據(jù)機(jī)器性能和業(yè)務(wù)需求，設(shè)置最大連接數(shù)：

編輯server.xml文件，樣例如下： <Connector   port="8080" maxThreads="150"……/> maxThreads="150" 表示最多同時(shí)處理150個(gè)連接 根據(jù)實(shí)際情況配置連接數(shù)

以上是“Tomcat中間件基線核查的示例分析”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對(duì)大家有所幫助，如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！